Public Key Infrastructure (PKI) 2. rész

(folytatás innen)

Tanúsítvány kibocsátás

A Windows 2003 szerver három módon tud kibocsátani tanúsítványt: Auto, Web, Manual. Mielőtt még eldöntenénk, hogy melyiket válasszuk, nézzük meg, hogy ki mit tud:

Enterprise: AD integrált, a tanúsítványokat és a CRL-t is ott publikálja. Ők csak az AD-ban található felhasználóknak és számítógépeknek tudnak tanúsítványt kiállítani. Az AD-ban található adatok alapján dönti el, hogy jóváhagyja vagy elutasítja a kérelmet.

Mivel az Enterprise tanúsítványok az AD-ban kerülnek publikálásra, s például a felhasználói tanúsítványok a megfelelő fiókhoz köthetőek, ennek eredményeképpen egyes programok, mint például az MS Outlook automatikusan használ(hat)ják őket a levelek titkosítása során.

Az auto-enrollment csak akkor járható, ha a tanúsítványt igénylő és a vállalati CA közvetlenül kapcsolatot tud létesíteni.

Stand-alone: nem kell neki AD, emiatt viszont az összes olyan adatot meg kell adni, ami a kérelem elbírálásához szükséges. Alapértelmezés szerint ezek a kiszolgálók nem válaszolnak automatikusan a kérelmekre, de ez a beállítás módosítható.

Tanúsítvány-igénylés

Az automatikus tanúsítvány igénylés (ami csak Enterprise CA esetén használható, Windows Enterprise vagy Datacenter esetén) a tanúsítványok önálló igényléséről/megújításáról szól, házirendből szabályozva. Természetesen szükség esetén felhasználói beavatkozást is be lehet iktatni.

Mint szinte mindenhol, itt is lehetnek ügynökök. A „sorozó” ügynök más nevében kér tanúsítványt, tipikusan intelligens kártyák esetében használatos. Ugyanakkor az ilyen kártyáknál fokozottan kell figyelni, például ha titkosító tanúsítványt igénylünk, akkor biztosak kell legyünk abban, hogy a magán titkosító kulcs is megfelelő helyen legyen tárolva.

A kulcsok mentése a magán titkosító kulcsok biztos tárolását biztosítja, arra az esetre, ha titkosított adatot kell visszaállítani, de a kulcs elveszett. A kulcs tárolásának módját a sablonban tudjuk szabályozni, a kulcs-visszaállítás feladatát pedig kulcs-visszaállító ügynökök végzik.

Igénylés módja

Összegezve a fentieket, az igénylésünk típusa két dologtól függ: a kérést kiszolgáló CA típusa, valamint, hogy a kérelmező és a kiszolgáló közvetlenül tud-e hálózaton kommunikálni.

Ha Standalone CA-tól akarunk igényelni tanúsítványt, akkor három lehetőségünk van:

1. Certificates snap-in

2. Certreq eszköz

3. Webes felület

Enterprise CA esetén szintén használhatóak az előbbiek, de bejön egy negyedik lehetőség is, a házirend. Bármelyik esetben beállítható, hogy vagy automatikus válaszadás történjen, vagy egyéni elbírálás legyen minden esetben. Előbbi esetben a sablonon engedélyezni kell az AutoEnrollment jogot a kérelmezőnek.

4. Házirend esetén XP/2003 párostól adhatunk meg automatikus igénylést, felhasználónak és gépnek egyaránt. Viszont követelmény, hogy legalább V2 típusú sablonnal kell rendelkezzen az igényelt tanúsítvány.

Ki kicsoda?

Ha ki kell derítsük, hogy ki a CA (számítógépnév és/vagy CA-név), itt találunk megoldást. No meg arra is, hogyha arra vagyunk kíváncsiak, hogy az adott CA milyen típusú (önálló vagy vállalati, illetve gyökér vagy alárendelt): certutil –cainfo.

Az elméleti tudásunk bővítéséhez még a következő két cikk javasolt:

http://www.tech-faq.com/the-certificate-enrollment-process.html

http://technet.microsoft.com/en-us/library/cc962066.aspx

A következő rész már a konkrét probléma taglalása lesz…